Platform
python
Component
apache-airflow
Opgelost in
2.9.3
2.9.3
CVE-2024-39877 is een Remote Code Execution (RCE) kwetsbaarheid in Apache Airflow versies tot en met 2.9.3rc1. Deze kwetsbaarheid stelt geauthenticeerde DAG-auteurs in staat om de doc_md parameter te manipuleren, waardoor potentieel willekeurige code kan worden uitgevoerd binnen de context van de Airflow scheduler. Het is cruciaal om te upgraden naar versie 2.9.3 of hoger om deze kwetsbaarheid te verhelpen en de integriteit van uw Airflow omgeving te waarborgen.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie kan leiden tot volledige controle over de Airflow scheduler, waardoor een aanvaller toegang kan krijgen tot gevoelige data, configuratiebestanden en zelfs andere systemen waar Airflow mee integreert. De aanvaller kan bijvoorbeeld data manipuleren, taken wijzigen of nieuwe taken creëren om verdere schade aan te richten. Dit is vergelijkbaar met scenario's waarbij een aanvaller controle krijgt over een centrale coördinator in een complexe workflow, waardoor de gehele operatie kan worden verstoord of misbruikt. De kwetsbaarheid is bijzonder zorgwekkend omdat het niet vereist dat de aanvaller root-rechten heeft, alleen authenticatie als een DAG-auteur.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes op dit moment, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status pending). Er zijn publieke proof-of-concept exploits beschikbaar, wat de urgentie van patching verhoogt.
Organizations heavily reliant on Apache Airflow for data orchestration and ETL processes are at significant risk. Specifically, teams with less stringent access controls for DAG authors, or those using Airflow in environments with sensitive data, are particularly vulnerable. Shared hosting environments where multiple users can create and deploy DAGs also increase the risk surface.
• python: Monitor Airflow logs for unusual process executions or errors related to DAG parsing.
import logging
logging.basicConfig(filename='airflow.log', level=logging.ERROR)
# Monitor for suspicious code execution attempts• python: Check for modified DAG files with suspicious doc_md parameters.
# Example: Check for unusual characters in doc_md
with open('my_dag.py', 'r') as f:
content = f.read()
if 'doc_md=' in content:
print('Potential vulnerability: doc_md parameter found')• generic web: Examine Airflow web server access logs for requests containing unusual or encoded characters in the doc_md parameter. Look for patterns indicative of code injection attempts.
disclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Apache Airflow naar versie 2.9.3 of hoger, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van DAG-auteurs om te voorkomen dat ze de docmd parameter kunnen manipuleren. Implementeer strikte inputvalidatie op de docmd parameter om onverwachte data te voorkomen. Monitor de Airflow scheduler logs op verdachte activiteiten, zoals ongebruikelijke code-uitvoering. Er zijn geen specifieke WAF-regels of Sigma/YARA patronen bekend voor deze specifieke kwetsbaarheid, maar algemene regels voor het detecteren van code-injectie kunnen nuttig zijn.
Actualice Apache Airflow a la versión 2.9.3 o posterior. Esta versión corrige la vulnerabilidad que permite la ejecución de código arbitrario. La actualización se puede realizar a través de pip o el método de instalación preferido.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-39877 is a remote code execution vulnerability in Apache Airflow versions 2.4.0 and earlier, up to 2.9.3rc1. It allows authenticated DAG authors to execute arbitrary code on the scheduler.
You are affected if you are running Apache Airflow versions 2.4.0 through 2.9.3rc1. Upgrade to 2.9.3 or later to mitigate the risk.
The recommended fix is to upgrade Apache Airflow to version 2.9.3 or later. As a temporary workaround, implement stricter input validation on the doc_md parameter.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the Apache Airflow security page for the latest information and advisory: https://airflow.apache.org/security
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.